국가에너지관리국(NEA)은 최근 “에너지 분야 데이터 분류·등급 지침(2026년판)”을 발표했으며, 이 지침은 2026년 7월 1일부터 시행되었다. 이 지침은 중화인민공화국 영토 내 에너지 분야의 비기밀 데이터 분류·등급에 적용되며, 에너지 분야 데이터 처리 활동을 표준화하고 데이터 보안 관리를 강화하는 것을 목표로 한다.
문서에 따르면, 에너지 분야 데이터의 분류 차원은 에너지 유형, 에너지 활동 등을 포함한다. 구체적으로, 에너지 유형별 1차 분류에는 석탄, 석유, 천연가스, 원자력, 수력, 풍력, 태양광, 바이오매스 에너지, 지열 에너지, 해양 에너지, 전력, 수소 에너지 등이 포함된다. 이는 수소 에너지가 공식적으로 에너지 분야 데이터 1차 분류 체계에 편입되었음을 의미한다.
에너지 활동별 2차 분류에는 계획, 설계, 건설, 생산, 저장·운송, 소비, 과학 연구 등이 포함된다. 에너지 분야 데이터 처리자는 데이터 내용과 특성에 따라 3차 및 4차 분류 관리를 추가로 시행할 수 있다.
데이터 등급과 관련하여, 지침은 중요도, 정확성, 규모, 보안 위험 등의 요소를 바탕으로 에너지 분야 데이터를 일반 데이터, 중요 데이터, 핵심 데이터의 세 등급으로 분류한다. 중요 데이터 또는 핵심 데이터에 대해 통계, 연관, 마이닝, 집계 등의 처리를 통해 생성된 파생 데이터가 여전히 중요 데이터나 핵심 데이터로 복원 또는 복구 가능한 경우, 원칙적으로 원래 등급으로 관리해야 한다.
또한, 데이터가 비식별 처리 후 중요 데이터나 핵심 데이터로 복원 또는 복구될 수 없는 경우, 규칙에 따라 등급을 하향 조정할 수 있다. 구체적으로, 핵심 데이터는 중요 데이터 또는 일반 데이터로 하향 조정될 수 있고, 중요 데이터는 일반 데이터로 하향 조정될 수 있다.
이 지침은 에너지 분야의 중요 데이터 및 핵심 데이터 식별 규칙에 대해 명시적으로 규정하고 있다. 정밀도가 100미터 이하인 특정 중요 에너지 기반시설의 지리 좌표 데이터 및 이를 포함한 자료는 에너지 분야 중요 데이터로 분류된다. 이러한 기반시설에는 연간 생산량 1,000만 톤 이상의 탄광, 특정 규모의 화력 발전소·수력 발전소·원자력 발전소, 그리고 750kV 이상의 변전소·개폐소·컨버터 스테이션이 포함된다.
특정 에너지 인프라의 생산 및 운영을 위한 실시간 명령 데이터도 중요 데이터 범위에 포함된다. 여기에는 특정 규모의 수력발전소, 750kV 이상의 변전소 및 컨버터 스테이션, 파이프차이나의 오일&가스 제어 센터의 급전 및 제어 시스템 관련 데이터가 포함된다.
전력 소비 데이터 측면에서, 국방 및 군사 분류의 초중요 전력 사용자, 1급 및 2급 중요 전력 사용자의 원시 전력 소비 데이터, 그리고 1천만 명 이상의 전력 사용자의 원시 전력 소비 데이터는 에너지 부문에서 중요 데이터로 인정된다. 연속 1년 이상의 초중요 전력 사용자 원시 전력 소비 데이터와 1억 명 이상의 전력 사용자 원시 전력 소비 데이터는 에너지 부문의 핵심 데이터로 분류된다.
국가에너지국(NEA) 관계자는 이 지침이 에너지 부문에서 중화인민공화국 데이터 보안법의 시행을 촉진하기 위해 발표되었으며, "에너지 부문 데이터 보안 관리 조치(시행)"와 함께 에너지 부문 데이터 보안의 기본 관리 체계를 구성한다고 밝혔다. 이 지침은 데이터 처리자가 보유한 에너지 부문의 비기밀 데이터를 분류 및 등급화하고, 중요 데이터와 핵심 데이터를 정확히 식별하며, 요구에 따라 관리 및 보안 보호를 강화하는 데 지침을 제공할 것이다.
에너지 부문 데이터 처리자의 후속 작업과 관련하여, NEA는 지침에 따라 자체 조직의 에너지 부문 중요 데이터 목록을 식별 및 작성하고, 데이터 저장매체 소재지의 성급 에너지 규제 당국에 요구에 따라 제출해야 한다고 제안했다. 목록에 중대한 변경이 발생하면 3개월 이내에 다시 제출해야 한다.
동시에 관련 주체는 데이터 보안 관리 시스템을 수립 및 개선하고, 데이터 생명주기 관리 요구사항을 정의하며, 필요한 기술적 조치를 채택하고, 사이버보안 등급 보호, 핵심 정보 인프라 보안 보호, 암호 보호 및 기밀 유지와 같은 제도적 요구사항을 이행하여, 에너지 부문의 중요 데이터와 핵심 데이터가 효과적으로 보호되고 합법적으로 이용되는 상태에 있도록 해야 한다.
또한 이 문서는 중요 데이터 및 핵심 데이터 처리자가 매년 최소 1회 데이터 처리 활동에 대한 위험 평가를 수행해야 하며, 이는 자체적으로 수행하거나 위험 평가 능력을 갖춘 제3자 기관에 위탁할 수 있으며, 평가 보고서를 성급 에너지 규제 당국의 요구에 따라 제출하도록 요구한다. 중요 데이터의 국외 이전 또는 핵심 데이터의 기관 간 이전이 관련되는 경우, 관련 규정에 따라 위험 평가를 신청해야 합니다.
NEA는 에너지 부문의 중요 데이터 및 핵심 데이터 식별 규칙이 고정되어 있지 않으며, 앞으로 국가 안보 상황과 데이터 보안 관리 요구의 발전에 따라 지속적으로 분석 및 평가하고 적절한 시기에 수정 및 개선할 것이라고 밝혔습니다.



